我面临的情况是这样的:我们计划使用托pipe在Amazon EC2计算机上的大量服务器应用程序,主要是Microsoft Team Foundation Server。 这些服务严重依赖于Active Directory。 由于我们的服务器在亚马逊云中,所以我们所有的用户都是远程的,所以我们不用说(但我会)。
看来我们不能在我们的EC2实例上设置VPN,因此用户必须直接通过互联网join域,然后才能进行身份validation,并且一旦通过身份validation,就可以使用该令牌访问TFS等资源。
在DC实例上,我可以closures所有端口,除了join/authentication到域所需的端口。 我也可以将该机器上的IP过滤到我们期望用户所在的地址(这是一个小组)
在基于Web的应用程序服务器上,我想我们需要打开的是端口80(在TFS的情况下为8080)
我面临的问题之一是该Active Directory使用的域名。 我应该去与“ourDomainName.com”或“OurDomainName.local”如果我select后者,这并不意味着我将不得不让我们所有的用户改变他们的DNS地址指向我们的服务器,所以它可以解决域名(我想我也可以分发一个主机文件)
也许还有另一个我完全错过的select。
你有两个关键问题。
重命名 – 我永远不会命名您的二级域名(即“OurDomainName.com”)后的Active Directory域名。 这一直是这里的宗教争论的主题,你可以在这里准备好:
我不会使用“.local”(即使微软也这样做 – “.local”由于ZeroConf协议而具有与之相关的“包袱”)。
就个人而言,我使用“ad.domain.com”这个惯例。 假设您将“ad”子域的DNS委托给在DC上运行的DNS服务器,则可以将AD命名空间与公用DNS命名空间共存,而不会出现问题。
re:安全性 – 您可能要考虑在您的DC上使用IPSEC策略(如果不是所有的域成员计算机)来validation和encryption客户端计算机与您的DC之间的通信。 刚开始join域名会有些困难,但肯定不是不可能的。 如果您的客户端是基于Windows 7的,那么您可以利用新的离线域名joinfunction,使其更容易。